-
Generación de Certificados Autofirmados con Openssl
IMPORTANTE: Los certificados autofirmados NO son validos para conectase a ninguna ISP.
Dicho esto, este tutorial se hizo de manera de ilustración para ver el procedimiento para generar certificados X.509.
1-Generación del Certificado de Autoridad de Certificación(CA) Autofirmado
1a-Cree una llave privada (CA);
1b-Cree un archivo de solicitud de certificado (CSR) con la clave privada CA. El "sujeto" (-subj) se tomaron del certificado CA del Arris; 1c-Cree un archivo de configuración para extensiones con nombre ssl-extensions-x509.cnf y con la siguiente informacion;
1d-Cree el certificado CA autofirmado a partir de la solicitud de certificado y con la clave privada CA;
2-Generación del Certificado de CableModem(CM)
2a-Cree una llave privada (CM); 2b-Cree un archivo de solicitud de certificado (CSR) con la clave privada de CM. El "sujeto" (-subj) contiene la mac del modem (CN); 2c-Cree un certificado CM a partir de la solicitud de certificado con la clave privada CM, el certificado CA autofirmado y la clave privada CA;
3-Conversion de la clave privada CM y los certificados CA y CM a formato DER
En el paso 2c para crear un certificado CM autofirmado se necesita;1-la clave privada CM.
2-el certificado CA autofirmado.
3-la clave privada CA.
Con estos componenetes se crea la firma que asegura la integridad del contenido del certificado.
Por otro lado, para crear un certificado CM valido para una mac especifica se necesita;1-la clave privada CM que se genera aleatoriamente (paso 2a).
2-el certificado CA valido que se consigue del modem.
3-la clave privada CA valida que se encuentra en el CMTS bien resguardada y super encriptada.
Como es muy improbable obtener la clave privada CA valida del CMTS. Se puede intentar recrear la clave privada CA, que es una llave de encriptación RSA de 2048 bits, a fuerza bruta o con algun otro metodo pero esto tomaria esta vida y la otra.
Si se modificar la mac del certificado CM valido, la firma no correponde y el certificado ya no es valido. El proceso es mas complejo. Se tiene que cambiar también la firma y para eso necesitamos la clave privada CA valida.
En resumen crear un certificado CM valido es altamente improbable para no decir que imposible.
Fuente:
Última edición por elbarto; 18/04/2021 a las 00:06
-
Gracias / Me Gusta - 3 Gracias, 1 Me Gusta, 0 Me Disgusta
-
cuanto durara este post lol
-
-days 3650
-
Gracias / Me Gusta - 1 Gracias, 0 Me Gusta, 0 Me Disgusta
-
-
-
lo digo porque editas tus post jaja
notese que hay isp que tiene CA instaladas en sus cmts que no deberian y eso es grave jajaj
-
tiene razon barto no hay que esperar que se rompa un cifrado de 2048 con un computador cuantico como ud dice es mas rapido tomar el certf CM y su llave privada de un modem operativo. los certifs de los primeros modem D2.0 que tiene un vigencia de 20 años ya se van a empezar a vencer sino es que ya vencieron pronto van empezar a aparecer llaves CA que van a servir pa tres cosas
Última edición por barbaroja; 24/04/2021 a las 16:49
-
-
-
Muy interesante
-
-
-
-
-
-